Платить на сайте у вас не смогут: как подготовиться к переходу Сбербанка на SSL от Минцифры
Если вы принимаете платежи на своем сайте через Сбербанк, то у большинства ваших клиентов, кто не пользуется Яндекс.Браузером, будет ошибка при попытке оплаты. К примеру, пользователи iPhone из Safari будут видеть подобную картину ⬇. Как подготовиться? Читайте в этой статье.
Мы в Кликбаре как раз принимаем платежи через Интернет-эквайринг Сбербанка. И новость о переходе на новые сертификаты я заметил в их личном кабинете. Переход начнется 30 января – так говорит техподдержка.
Сначала я как-то не придал этому значения. Думал, что это не про меня. А потом до меня дошло: ведь наши клиенты не смогут оплатить подписку, так как будут видеть ошибку при попытке оплаты. И это – не есть гуд!
Вот сама новость на сайте Сбербанка. Ссылка на нее ниже.
Содержание новости в двух словах следующее: поставь браузер от Яндекса или установи сертификаты НУЦ Минцифры России на свои устройства и все будет работать как раньше. Но во-первых, знает ли кто вообще, что это нужно делать? И во-вторых, представьте лицо тех, кто не особо шарит в IT, когда их попросят установить сертификаты. Единственный сертификат, который они видели в лицо, был подарочный.
Что делать?
1. Отправить вашим программистам ссылку ниже. Они внесут нужные изменения на сервер. Если внести изменения некому, можете написать мне здесь или в телегу.
Если вы – сам разработчик, супер! Проверьте взаимодействие вашего приложения с API Сбера, используя альтернативный хост в URL:
Если приложение выдаст ошибку соединения, отключите проверку SSL при запросах к API, либо добавьте цепочки доверенных сертификатов УЦ в список доверенных сертификатов на вашем сервере.
Если ваше приложение написано на php, то отключить проверку SSL при запросах к API можно так:
2. Отправить в техподдержку эквайринга Сбера запрос, чтобы поменяли домен платежных страниц на альтернативный.
На альтернативных доменах Сбера установлен сертификат от Lets Encrypt, который поддерживается всеми устройствами. Поэтому ваши покупатели смогут платить без проблем, как и раньше.
На этом все. Не забудьте поставить сердечко, если было полезно.
Сбер дал альтернативу? Зачем тогда вообще городить переход?
Переход куда?
А с х…ра ли я должен что-то ставить? У меня например нет доверия к Як браузеру, особенно в плане отслеживание интересов… Это как в 2к10 используй Ie6 потому что Сбербанк только с ним работает. Спасибо, но нет.
Так и есть 👍
Есть ли какие-то минусы или потенциальные проблемы после установки этого?
Дополню автора kiber.io
Самоподписанный сертификат - это очень большой соблазн для государства. Т.к. цели блокировок РКН уже много лет только расширяются, самоподписанные сертификаты вообще развяжет руки и можно блокировать что угодно, прикрываясь всё той же "безопасностью граждан".
В Казахстане, кстати, на государственном уровне пытались внедрить самоподписанный сертификат, с несколькими попытками - https://www.opennet.ru/opennews/art.shtml?num=54206
Установки чего? Сертификатов от минцифр?
Да
Я никаких не вижу. Возможно, специалисты по безопасности, если тут есть, дадут более широкий обзор. Единственную проблему, которую я вижу, что на устройстве клиентов их не будет установлено и при оплате у них будет ошибка. Как следствие выручка у интернет-магазинов и приложений упадет. А если смотреть со стороны клиентов, то неподготовленные приложения и сайты просто станут нерабочими. Но в целом рано или поздно должно все устаканится.
Установка сертификата от минцифры даст провайдерам возможность расшифровывать HTTPS трафик их клиентов (важное уточнение: только при условии, что минцифры передаст провайдерам свой сертификат). А тут уже гуляй фантазия - от расширенной блокировки сайтов до подмены данных на сайтах (например, вырезать неугодный для того же ркн текст из какой-нибудь статьи).
ахаха )))))))))) это про меня. я тоже думал что это не про меня )))
Вот прям большое спасибо вам, а то уже думал сносить сбер и оставлять один PayU, отправил запрос им уже!
PayU норм ребята кстати. С ними работал долго в другой нише 👍
Надо просто подключить оплату криптой. Тогда сможет платить весь мир, а не только мир
Комментарий недоступен
"Сбер выживал как мог"
Всех переводили на Яндекс.Браузер
Массовый переход банков и госсайтов на российские сертификаты приучит людей жать в браузере кнопку Дополнительно - Я доверяю сайту.
Скорее приучит массово не доверять.
Большое спасибо за статью. Я несколько дней промучился, пытаясь заставить наш магазин работать с https://3dsecmt.sberbank.ru, используя сертификаты Минцифры и все без толку.
Потом набрел на эту статью и сделал по пункту 2) , получив также от поддержки "настройки скорректированы".
Вопрос: больше ничего делать не надо, после 30-го сберэквайринг на нашем сайте посто продолжит работать?
Я сделал тоже самое и получил от суппорта сбера "Функционал подключен", но, начиная с сегодняшнего утра, эквайринг у нас не работает. Мы свои настройки не меняли.
Вопрос: нужно ли менять, например. адрес хоста к которому сайт обращается при оплате на "альтернативный" и , если да, на какой?
Сбер пока нам не ответил..
Сбер ответил:
"Альтернативные домены возвращаются клиентам, для того, чтобы покупатель не устанавливал сертификаты на свое устройство."
То есть, даже при альтернативных серверах нужно ставить на сервер Интернет-магазина сертификаты от Минцифры, которые у нас так и не заработали.
В итоге разобрались и все заработало. Проблема была в том, что мыустанавливали на сервере не те сертификаты. Мы ставили клиентские сертификаты: https://www.sberbank.com/ru/certificates/linux , а нужно было ставить этот: https://securepayments.sberbank.ru/wiki/doku.php/certificates:add:backend (он для бэкэнда). Сбер, молодцы - сделали путанную инструкцию, а на все обращения отвечают отписками.
Альтернативные домены - для клиента. Но сертификаты еще касаются серверного взаимодействия. Там либо поставить сертификаты на машину, либо отключить проверку ssl
Да, инструкцию сделали максимально непонятную: касается она тебя или нет, и что делать, если касается 😵
Не могли бы вы описать подробнее процесс установки сертификата
на бэкенд?
У вас какая ОС на сервере?
Ubuntu 20.04
Держите. У меня Centos 7 и всё объяснение будет для нее, но суть, думаю, та же:
Сразу оговорюсь, спецом себя не считаю, делал все методом Гугла и Тыка, но у меня, в итоге, все заработало.
- качаем сертификат отсюда https://securepayments.sberbank.ru/wiki/doku.php/certificates:add:backend и кладем его в хранилище исходников сертификатов вашей ОС.
Для Centos это /etc/pki/ca-trust/source/anchors
- я также скачал туда же клиентские серификаты для Linux отсюда https://www.gosuslugi.ru/crt что называется "до кучи"
- Устанавливаем пакет по управлению сертификатами
# yum install ca-certificates
и далее добавляем наши сертификаты в системный список доверенных
# update-ca-trust enable
# update-ca-trust extract
Проверим установленные сертификаты:
# trust list
В списке должно быть 5 ру-сертификатов:
# Russian Trusted Sub CA
..
# SberCA Ext
..
# SberCA Root Ext
..
# SberCA Ext Web
..
# Russian Trusted Root CA
..
После этого все должно заработать, но у меня не заработало, хотя API-запросы к Сберу из командной строки проходили успешно :(
Причина в Python/Django, на котором работает сайт.
Заработало только после того как я ручками скопировал эти 5 сертификатов из файла
/etc/pki/ca-trust/extracted/objsign-ca-bundle.pem
в начало файла
../venv/lib/python3.6/site-packages/certifi/cacert.pem
В общем, треш тот еще был, надеюсь вам и другим моим собратьям по несчастью (в лице Сбер-эквайринга) эти строки сократят их страдания.
Спасибо огромное! Будем пробовать)
В общем, бился я три дня, так и не получилось подружить ноду с этими сертификатами(( При запросе к API сбера вылетает ошибка "self signed certificate in certificate chain". Помогает только прописать NODE_TLS_REJECT_UNAUTHORIZED='0' в .env, но это так себе вариант, конечно.
Если вдруг у кого-то еще получилось, буду рад, если напишете решение или подтолкнете в нужную сторону.
Итак, в итоге все удалось починить путем прописывания пути до Cert_CA.pem в конфиге запроса к API Сбера:
const config: AxiosRequestConfig = {
...
httpsAgent: new https.Agent({ ca: fs.readFileSync('/path/to/Cert_CA.pem') })
...
}
await axios(config)
Надеюсь, кому-то поможет)
Андрей, добрый день! Буду материально благодарен, если Вы сможете настроить мой сайт. У меня эквайринг Сбера, платформа сайта Wordpress, сайт на сервере RU Centr. С 30-го января слетает кнопка "оплатить". Клиенты не могут оплачивать онлайн. Андрей. [email protected]
Добрый день. Пришлите мне свой сайт в телегу: https://founder.clck.bar
Не получается зайти в Телеграм. Можно в ВК?
Ок. https://vk.com/andrey.strekalov
Прислал
Столкнулась с тем же на портале Госуслуг, теперь не могу скачать никакую справку
Я сам на сайте налоговой провозился, чтобы с кэп войти. Но вроде все получилось через Яндекс браузер
Скачала этот браузер-нифига не вышло 😅
Проверьте в настройках браузера включение поддержки ГОСТ шифрования, должно быть включено.
А вообще, по своему опыту, самый надёжный вариант (в том числе для налоговой применял) - chromium gost + расширение для подмены user agent на яндекс браузер или спутник.
Не знаю почему, но при использовании я.браузера и спутника, налоговая отваливалась, а вот хромиум ГОСТ прекрасно справился и не подводил ни разу больше
https://github.com/deemru/chromium-gost/releases
True story 😅👍